F1000-AI-90 直连聚合不通

策略没问题的话 防火墙和交换机抓包分析吧

二层接口和三层vlanif需要添加到安全区域。

还不行就vlanif接口下面添加配置  man ping inbound

从你的排查记录看，问题很可能不是出在硬件或安全策略上，而是防火墙的“状态化”转发机制和IRF非对称流量共同作用的结果。

我整理了一份故障排查表，你可以按照里面的步骤来定位。

 故障点定位排查表

开始前，记得开启防火墙的会话同步功能，并使用 display session table ipv4 命令检查会话建立情况-25。

 关键步骤详细分析

 会话同步 (session synchronization enable)：问题的解决核心

状态化防火墙要求链路两端通信的流量必须在同一个设备上处理。在IRF环境下，如果流量跨框（例如，Request报文走主墙，Reply报文走备墙），防火墙会因为找不到原始会话而丢弃报文。因此，你看到input计数增长但output无变化，很可能是防火墙收到了Reply报文却找不到对应的会话。

• 解决方法：在两台防火墙上关闭系统视图下配置会话同步，这是解决此类问题的关键一步。

  [H3C] session synchronization enable

• 验证方法：配置完成后，再次执行ping操作，并立即运行display session table ipv4命令。如果能看到ICMP Request和Reply的会话信息，说明问题已得到解决。

 VLAN配置检查清单

• Trunk模式放行VLAN：检查聚合接口的端口配置（interface Bridge-AggregationX），确保已用port link-type trunk和port trunk permit vlan all命令放行了VLAN 。

• Access模式归属VLAN：如果是access模式，请确保接口已在port access vlan 9下正确归属。

• 默认VLAN (PVID)：确认一段发送的报文是带Tag的（Trunk口），另一端接收的是不带Tag的报文（Access口），这将导致PVID不匹配而丢弃。

 ICMP服务与安全策略

• 安全域：确认VLAN虚接口（interface Vlan-interface 9）和二层聚合口已被加入对应的安全域。

• 策略放行：执行display security-policy ip检查策略放行情况，务必确保策略中明确引用了service ping。必要时可临时创建一条rule 0 permit进行最简化的全放通测试。

• 接口ICMP开关：部分防火墙可能在接口下默认关闭了icmp服务，需要进入聚合口或VLAN虚接口手动开启。

 ARP问题细化排查

• 学习机制：执行display arp，检查防火墙的ARP学习是动态还是静态。如果是静态，请核实绑定是否正确。

• 广播域过大：如果广播域过大，可能超出了设备的ARP学习规格，可以先测试静态ARP绑定来快速验证和规避。

• MAC地址漂移：IRF环境下可能存在MAC地址漂移问题，可执行display mac-address mac-move命令来检查是否存在地址冲突。

 聚合模式（LACP vs 手工）

• 动态LACP：确保两端配置一致性（link-aggregation mode dynamic）。

• 手工负载分担：检查端口选中状态（display link-aggregation verbose），确保所有端口Selected。

• 错位连线：核对防火墙IRF成员设备的线缆是否正确连接到了交换机IRF的对应成员设备上，确保连接关系是一一对应的，没有出现交叉连接的情况。